Beliebte iOS-Apps mit Malware infiziert, um iCloud-Anmeldeinformationen im chinesischen App-Store zu stehlen

Apps mit Informationsdiebstahl-Malware im chinesischen App-Store von Apple gefunden

Der iOS App Store ist normalerweise eine vertrauenswürdige Quelle für Software, aufgrund von Apples strengen Sicherheitsprüfungen. Kürzlich wurde jedoch festgestellt, dass eine Reihe von chinesischen Apps, die im offiziellen Apple App Store gehostet werden, mit fragwürdigem Code infiziert waren, der Informationen von den Telefonen der Benutzer abzieht. Es scheint, dass die Hacker einige Versionen der Software ins Visier genommen haben, die von Entwicklern verwendet wird, um Apps für iOS und OS X zu erstellen.

Chinesische Entwickler auf Weibo waren die ersten, die auf die Malware hinwiesen, die dann von Forschern von Alibaba analysiert wurde. Darüber hinaus bestätigte das Sicherheitsunternehmen Palo Alto Networks die Ergebnisse.

Laut den Sicherheitsexperten trugen sogar beliebte Apps wie WeChat, eine äußerst beliebte Messaging- und Social-Networking-App, und Didi Kuaidi, Ubers Hauptkonkurrent in China, die Bedrohung.

Der Hack hängt vollständig mit Xcode zusammen, einem Tool, das zur Erstellung von iOS- und OS X-Apps verwendet wird. Im Allgemeinen kann Xcode kostenlos direkt von Apple heruntergeladen werden. Es ist jedoch auch möglich, Xcode aus anderen Quellen zu beziehen, wie z.B. Entwicklerforen. Das Problem begann, als Entwickler veränderte Versionen von Xcode (von Alibaba-Forschern „XcodeGhost“ genannt) von Drittanbieter-Websites herunterluden.

Viele Entwickler entschieden sich, Xcode vom Baidu Cloud-Dateifreigabedienst anstelle direkt von Apple herunterzuladen. Aber irgendwie waren diese Downloads so verändert worden, dass sie Malware zu Apps hinzufügten, die mit dem veränderten Xcode erstellt wurden, sodass sie scheinbar harmlose Daten von iPhones abgreifen konnten, wie z.B. Gerätenamen und grundlegende Netzwerkinformationen.

Die Malware ist jedoch nicht so harmlos. Claud Xiao, leitender Malware-Forscher bei Palo Alto Networks, sagte gegenüber Forbes: „Sie kann vom Angreifer fernbedient werden, um Phishing zu betreiben oder lokale System- oder App-Schwachstellen auszunutzen.“ Das macht XcodeGhost potenziell gefährlicher und scheint ein Einstiegspunkt für weitere Ausbeutung auf iPhones zu sein.

Ryan Olson, Direktor der Intelligence-Abteilung der Forschungsgruppe Unit 42 bei Palo Alto Networks, erklärte weiter: „Nachdem die Malware den Command-and-Control-Server kontaktiert hat, um Informationen über das infizierte Gerät hochzuladen, ruft sie eine verschlüsselte Antwort vom Server ab. Diese Antwort enthält mehrere mögliche Befehle. Einer davon gibt eine Nachricht an, die dem Benutzer in Form eines Warnhinweises gesendet werden soll.“

„Wir haben Beweise, dass dies verwendet wurde, um iCloud-Anmeldeinformationen von Benutzern infizierter Apps zu stehlen. Die Antwort kann auch eine URL enthalten, die die App dann öffnet. Wir wissen nicht, wie dies verwendet wird, aber es könnte verwendet werden, um andere Apps auf dem Telefon auf potenziell bösartige Ressourcen zu verweisen.“

Sobald die App heruntergeladen wurde, sammeln Apps, die mit XcodeGhost-Code entwickelt wurden, eine Reihe von Details über das Gerät eines Kunden. Die extrahierten Daten umfassen den Namen des Geräts, UUID, Sprache, Ländertyp des Netzwerks und die aktuelle Uhrzeit – nichts davon ist etwas, das ein Hacker wirklich gegen Sie verwenden könnte. Kein großer Verstoß, aber niemand möchte von unbekannten Quellen verfolgt werden.

Alle Entwickler, die ihre Kopie von Xcode aus einer inoffiziellen Quelle bezogen haben, könnten betroffen sein. Laut dem in den USA ansässigen Palo Alto Networks schien es zunächst, als wären die Infektionen auf chinesische Apps beschränkt und betrafen hauptsächlich chinesische Benutzer. Es ist jedoch jetzt offensichtlich geworden, dass eine viel größere Anzahl von Apps infiziert war, die Hunderte von Millionen von Benutzern weltweit betrafen. Das Unternehmen stellte fest, dass CamCard, der beliebteste Visitenkartenleser und -scanner in den USA und vielen anderen Ländern, XcodeGhost enthielt.

Entwickler, die Unternehmens-Apps erstellen, könnten ebenfalls von XcodeGhost betroffen sein. Dies sind Apps, die von Unternehmen speziell für die Geräte ihrer eigenen Mitarbeiter erstellt werden, sodass sie keine Art von Apple-Sicherheitsprüfung durchlaufen müssen. „Das ist jedoch ein ziemlich obskurer Angriff“, sagte Charlie Miller, ein Sicherheitsforscher bei Uber, der 2011 seine eigene bösartige Software in den App Store brachte, gegenüber Wired.

Während die Malware im App Store selbst kein Anliegen ist, ist die größere Frage, wie sie die strengen Sicherheitsprüfungen von Apple überwunden hat.

„Sie könnten dem App-Entwickler vollkommen vertrauen, und dieser Entwickler könnte vollkommen vertrauenswürdig sein, aber dies ist ein Fall, in dem die App es nicht war“, sagte Miller. Die Tatsache ist, wie die Software, die aus einer manipulierten Version von Xcode erstellt wurde, ihren Weg in den App Store gefunden hat.

Apple hat auf Anfragen zur Stellungnahme zu XcodeGhost und den infizierten Apps nicht reagiert.

Sollten die Verbraucher und Personen, die die bösartigen Apps heruntergeladen haben, besorgt sein? Vielleicht nur leicht. „Ich würde mir nicht zu viele Sorgen machen“, sagt Miller. Die Apps, die durchgekommen sind, scheinen nichts Unangenehmes zu tun. „Wenn Sie es wirklich offensichtlich schlecht gemacht hätten, würde [Apple] es wahrscheinlich auffangen“, sagt Miller.

Die Moral der Geschichte ist, dass, wenn Sie eine dieser unzuverlässigen Apps heruntergeladen haben, löschen Sie sie und folgen Sie mit Berichten über andere, die durchgerutscht sind. Außerdem sollten Entwickler ihre Werkzeuge nicht von zufälligen Drittanbieter-Websites herunterladen.